O que mais aprecio no Snyk é sua funcionalidade de "Alcance". Isso significa que, se uma biblioteca ou pacote vulnerável ou explorável é importado no código, mas não é realmente chamado ou usado, ele é identificado como um falso positivo e não requer remediação. No entanto, essa funcionalidade está disponível apenas na assinatura paga, não na versão gratuita. Isso reduz significativamente o tempo que a equipe de VAPT gasta validando problemas e também ajuda a equipe de DevOps a resolver problemas de forma mais eficiente. Outro aspecto que valorizo é a rapidez com que o Snyk se adapta a novos CVEs. Se uma exploração de dia zero aparecer, o Snyk atualiza seu banco de dados de CVE em no máximo 24 horas, ajudando a manter o código seguro.

Os recursos do produto da Snyk apresentam uma interface gráfica altamente intuitiva, tornando simples identificar e resolver vulnerabilidades. A plataforma permite que você organize desenvolvedores em Organizações, o que é útil para garantir que apenas equipes de desenvolvimento específicas possam visualizar as vulnerabilidades relacionadas aos seus próprios produtos. Essa estrutura também melhora as capacidades de relatórios. A integração com o GitHub Cloud é relativamente simples; você pode usar um aplicativo do GitHub para integrar repositórios individuais às organizações de equipe. A implementação também é bastante gerenciável, desde que você saiba quais equipes são responsáveis por quais repositórios e os produtos ou serviços que eles suportam. O suporte ao cliente é acessível online através do portal, facilitando a submissão de um ticket ou o agendamento de uma chamada quando necessário. A Snyk também é bastante personalizável por organização, permitindo que você decida quais configurações deseja habilitar por equipe/produto, para que você possa ser bastante detalhista em termos de quais PRs são levantados para quais atividades. O feedback também é fornecido no próprio GitHub, o que é útil para os desenvolvedores.

Suas capacidades de varredura são muito boas. Por exemplo, ele realmente se sai bem em varreduras SAST e até mesmo em varreduras SCA. Também é útil na mitigação de vulnerabilidades, fornecendo as melhores soluções.